Escolar Documentos
Profissional Documentos
Cultura Documentos
Segurança do Ciberespaço
2019-2023
6 de junho de 2019
0
ÍNDICE
1
Resolução de Conselho de Ministros
N.º 92/2019
Introdução 2
Resolução do Conselho de Ministros n.º 92/2019
Por seu turno, a Lei n.º 46/2018, de 13 de agosto, veio estabelecer o regime jurídico da
segurança do ciberespaço, transpondo a Diretiva (UE) 2016/1148, do Parlamento Europeu e do
Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível
comum de segurança das redes e dos sistemas de informação em toda a União. Através dessa
lei, foi instituído o Conselho Superior de Segurança do Ciberespaço, enquanto órgão específico
de consulta do Primeiro-Ministro para os assuntos relativos à segurança do ciberespaço.
Assim, tendo em consideração a evolução digital ocorrida desde a aprovação da ENSC de 2015,
estão reunidas as condições para aprovar a ENSC 2019-2023, enquanto instrumento
estruturante para a capacitação nacional neste âmbito, definindo o enquadramento, os
3
objetivos e as linhas de ação do Estado em matéria de segurança do ciberespaço, de acordo com
o interesse nacional.
A consecução da ENSC 2019-2023 permitirá tornar Portugal um país mais seguro e próspero,
através de uma ação inovadora, inclusiva e resiliente, que preserve os valores fundamentais do
Estado de Direito democrático e garanta o regular funcionamento das instituições face à
evolução digital da sociedade.
Determina-se ainda a elaboração, no prazo de 120 dias, de um Plano de Ação da ENSC 2019-
2023, que se afigura um instrumento essencial de acompanhamento e avaliação da respetiva
execução e que deve ser articulado com a Estratégia Nacional de Combate ao Terrorismo,
designadamente contemplando medidas de proteção contra as respetivas ameaças à segurança
do ciberespaço, com a Estratégia TIC 2020 - Estratégia para a Transformação Digital na
Administração Pública, bem como com a Estratégia de Inovação Tecnológica e Empresarial para
Portugal 2018-2030.
Assim:
Ao abrigo do n.º 2 do artigo 4.º da Lei n.º 46/2018, de 13 de agosto, e nos termos das alíneas d),
f) e g) do artigo 199.º e da alínea a) do n.º 1 do artigo 200.º da Constituição, o Conselho de
Ministros resolve:
4
4 - Determinar que o coordenador do Centro Nacional de Cibersegurança deve auscultar o
Conselho Superior de Segurança do Ciberespaço sobre o Plano de Ação da Estratégia Nacional
de Segurança do Ciberespaço 2019-2023 previamente à respetiva aprovação pelo membro do
Governo responsável pela área da cibersegurança.
6 - Determinar a revisão, com periodicidade anual ou sempre que necessário, do Plano de Ação
da Estratégia Nacional de Segurança do Ciberespaço 2019-2023.
8 - Determinar que a presente resolução entra em vigor no dia seguinte ao da sua publicação.
5
Estratégia Nacional de Segurança
do Ciberespaço
2019-2023
Para uma eficaz apreensão da presente Estratégia, afigura-se necessária a explanação de alguns
dos conceitos mais relevantes neste âmbito, permitindo concomitantemente a constituição de
uma base conceptual que possa ser utilizada por todos.
Ciberdefesa consiste na atividade que visa assegurar a defesa nacional no, ou através do,
ciberespaço.
Uma vez apresentada a base conceptual, cumpre mencionar que a presente Estratégia assenta
no direito vigente que regula as relações internacionais soberanas, designadamente na Carta
das Nações Unidas e no Direito Internacional Humanitário, e bem assim nas convenções
internacionais que regulam a proteção pelos Estados dos direitos e liberdades fundamentais,
nomeadamente a Declaração Universal e o Pacto dos Direitos Civis e Políticos, e no direito
europeu correspondente, como a Convenção Europeia dos Direitos Humanos e a Carta dos
Direitos Fundamentais da União Europeia. Assenta ainda nos princípios gerais da soberania do
Estado, na proteção da liberdade de expressão, dos dados pessoais e da privacidade, nas linhas
gerais da Estratégia da União Europeia para a Cibersegurança, bem como na política de
ciberdefesa da Organização do Tratado do Atlântico Norte e nos compromissos assumidos tendo
7
em vista a resiliência e a capacidade de resposta rápida e efetiva a ciberataques. Assim, a
presente Estratégia alicerça-se nos seguintes princípios:
Princípio da subsidiariedade:
Portugal afirma o seu forte compromisso com a segurança do ciberespaço. Considerando que
grande parte das infraestruturas tecnológicas que compõem o ciberespaço é detida por
entidades do setor privado, cabe a estas a responsabilidade primária pela sua proteção. Esta
responsabilidade inicia-se no próprio indivíduo, pela forma responsável como utiliza o
ciberespaço, e termina no Estado, enquanto garante da soberania e dos princípios
constitucionais.
Princípio da complementaridade:
Princípio da proporcionalidade:
2- Análise da envolvente
8
social trouxeram, de igual modo, em sociedades conectadas como a nossa, oportunidades
significativas para aqueles que pretendem comprometer as nossas redes e sistemas de
informação com intuitos potencialmente perniciosos para o bem-estar da sociedade
portuguesa.
As ameaças com origem em agentes estatais, das quais avultam os riscos crescentes de extensão
aos conflitos armados, decorrem da motivação política, militar e económica com que estes
intervenientes procuram, a coberto do anonimato conferido pelo ciberespaço, alcançar os seus
objetivos estratégicos por meio de operações de ciberespionagem, de ações de ingerência e de
desinformação em ambiente digital, incluindo ações de cibersabotagem destinadas a atingir
infraestruturas críticas e a provocar a disrupção de serviços essenciais para o regular
funcionamento da sociedade.
Por outro lado, as ameaças provenientes de agentes não estatais são frequentemente de origem
criminosa, de móbil pecuniário, embora também se verifiquem ações com motivação política e
ideológica, bem como outras para denegrir imagens institucionais e diminuir a reputação dos
alvos.
Também os alvos tradicionais do cibercrime têm vindo a expandir-se com a massificação dos
métodos de ransomware e de meios de pagamento que permitem transações financeiras em
aparente anonimato. De igual modo, o incremento de dispositivos conectados na Internet,
conhecidos por Internet-of-Things, poderá contribuir para um aumento dos vetores de ataque
à disposição das estruturas organizadas do cibercrime.
No que diz respeito ao terrorismo e respetivas atividades de suporte, alguns dos mais frequentes
e visíveis usos ofensivos das tecnologias de informação e comunicação por organizações e
indivíduos associados ao terrorismo incluem, designadamente, ações visando a alteração não
9
autorizada de conteúdos de sítios na Internet nacionais e a exfiltração e divulgação pública de
informação ou de dados pessoais sem consentimento do respetivo titular com aquele propósito.
10
Impõe-se ainda o reforço da articulação ao nível da coordenação e da cooperação estratégica e
operacional de entidades nacionais envolvidas na segurança do ciberespaço por forma a
salvaguardar uma eficiente e eficaz gestão nacional de crises.
3- Visão
Que Portugal seja um país seguro e próspero através de uma ação inovadora, inclusiva e
resiliente, que preserve os valores fundamentais do Estado de Direito democrático e garanta o
regular funcionamento das instituições face à evolução digital da sociedade.
4- Objetivos Estratégicos
5- Eixos
11
de ação concretas destinadas a reforçar o potencial estratégico nacional no ciberespaço através
do incremento da sua segurança, a saber:
12
Reforçar a capacidade de ciberdefesa nacional tendo em vista maximizar a resiliência das Forças
Armadas para fazer face a incidentes ou ciberataques significativos que afetem os interesses e
a soberania nacionais, devendo ser utilizados todos os meios para responder a ciberataques,
incluindo a capacidade ofensiva no ciberespaço, sendo fundamental uma estreita ligação e
coordenação com os diversos atores relevantes em casos de incidentes;
Aprofundar o emprego dual das capacidades de ciberdefesa, no âmbito das operações militares
e da cibersegurança nacional, desenvolvendo e consolidando um sistema de partilha de
informação aos vários níveis e patamares de decisão;
Promover uma maior articulação e coordenação das entidades relevantes nas áreas da
segurança do ciberespaço, nomeadamente, através da criação de sinergias com as entidades
que integram o Sistema de Segurança Interna, bem como com as autoridades e reguladores
sobre os setores relevantes, tais como o setor das comunicações eletrónicas e os setores
relativos aos serviços essenciais;
13
interesses nacionais e da segurança externa do Estado Português, sem prejuízo das atividades
de informações levadas a cabo pelas Forças Armadas necessárias ao cumprimento das suas
missões específicas e à garantia da segurança militar, para que os respetivos meios humanos e
técnicos de pesquisa e análise possam ter a imagem clara das capacidades e intenções dos
vetores de ameaça que, a cada momento, sejam identificados, reforçando paralelamente a
cooperação internacional e consolidando a proximidade com os atores nacionais neste domínio;
14
potenciais e em curso. Neste sentido, é fulcral desenvolver a capacidade de obter, de forma
automatizada, sistematizada e coerente, conhecimento desses indicadores. O conhecimento
homogéneo e criterioso de indicadores de ameaça permitirá assim a todo o ecossistema
nacional da segurança do ciberespaço o conhecimento prévio adequado à produção de medidas
de antecipação da ameaça e de segurança contra impactos não desejados.
Criar instrumentos e reforçar as medidas de sensibilização da sociedade civil para o uso seguro
e responsável das tecnologias digitais, dando particular importância à capacitação e
conhecimento obtidos por crianças, adolescentes, população sénior e outros grupos de risco;
15
Promover programas de capacitação em cibersegurança, robustos e transversais a todas as
organizações e ao cidadão comum, permitindo que os utilizadores entendam as suas
responsabilidades, usando e protegendo adequadamente as informações e os recursos que lhes
são confiados;
Promover a educação e literacia digital enquanto condição basilar para a confiança e utilização
dos recursos digitais de uma forma consciente, informada e responsável das novas tecnologias
pelas novas gerações e os grupos especialmente vulneráveis;
Organizar e realizar exercícios que permitam avaliar o grau de preparação e a maturidade das
diversas entidades para lidar com incidentes com impacto relevante, potenciando sinergias.
Adicionalmente participar em exercícios de âmbito internacional;
16
Tirar proveito das estruturas de ensino e formação militares e policiais nacionais e
internacionais, aproveitando em particular a oportunidade da edificação em Portugal de
estruturas específicas de ensino da Organização do Tratado do Atlântico Norte e da União
Europeia e iniciativas associadas, para o aprofundamento do conhecimento relacionado com o
ciberespaço e contribuindo para a sensibilização e prevenção na sua utilização;
Promover programas de sensibilização específicos junto das instituições públicas e privadas, que
robusteçam a vertente comportamental de segurança em ambiente digital, com base na partilha
de conhecimento especializado sobre os agentes da ameaça e seus modos de atuação;
Sensibilizar as entidades nacionais para as respetivas vulnerabilidades específicas, passíveis de
serem infiltradas, exploradas ou subvertidas no campo digital por agentes de ameaça diversos.
17
Maximizar a segurança e a defesa das redes e sistemas de informação das Forças Armadas e da
Defesa Nacional tendo em vista a manutenção da capacidade de operação no ciberespaço
através da capacidade de ciberdefesa defensiva.
No domínio da resposta pós-incidente, dada as características dos ciberataques, para além das
autoridades judiciárias e das entidades que integram o Sistema de Segurança Interna, têm
intervenção outras entidades que, por força das suas atribuições, detenham informação, própria
ou resultante da cooperação nacional e internacional, relevante para a atribuição da autoria ou
que coadjuve a própria investigação criminal.
Por outro lado, o ciberespaço proporcionou a criação quer de novos padrões de comportamento
e ação humana em benefício da sociedade, quer de novas tipologias de ameaça e de crimes que
necessitam de uma resposta atempada, coerente, participada e colaborativa, onde importa
proteger os bens jurídicos legalmente consagrados e os direitos dos cidadãos.
Complementarmente, para além de ter aberto o espaço para a prática de novos tipos de crimes,
deu também origem a um ambiente propício para que se desenvolvam crimes antigos com
novos métodos e ações ofensivas de grande envergadura lesivas do interesse nacional.
18
Os desafios colocados pela prevenção e investigação destes fenómenos implicam uma
observação atenta e permanente, que permita, por um lado, preparar uma atempada evolução
da legislação e, por outro, adequar a capacidade das entidades públicas e privadas para
responder às ameaças que coloquem em causa a continuidade operacional e o combate ao
cibercrime. Da mesma forma, tais desafios exigem que as instituições desenvolvam um
permanente esforço de apetrechamento, que as habilite a cumprirem cabalmente as suas
missões. Importa, pois, que os sistemas de resposta às ameaças, designadamente, o policial e
judiciário, em esforço coordenado, se adaptem às formas de responder às ameaças e investigar
os crimes que recorrem às novas tecnologias. Assim, devem ser adotadas as seguintes linhas de
ação:
Adequar, para efeitos de gestão de crises, as capacidades das Forças Armadas, das Forças e
Serviços de Segurança e de outras entidades públicas e privadas, tendo em vista impulsionar
uma abordagem integrada às ameaças e riscos em matéria de segurança do ciberespaço;
19
informática, potenciando a criação de novas equipas desta natureza em todas as entidades,
públicas e privadas, com responsabilidade pela segurança das redes e sistemas de informação;
20
dando prioridade ao desenvolvimento de tecnologias para a cibersegurança e à resposta às
necessidades identificadas de inovação;
Potenciar sinergias nacionais e atender aos esforços cooperativos em curso nas organizações
internacionais de que Portugal faz parte integrante, nomeadamente, no âmbito da União
Europeia (pooling & sharing), da Organização do Tratado do Atlântico Norte (smart defence) e
de iniciativas multinacionais para, em colaboração com as universidades, centros de
investigação e a indústria, desenvolver soluções tecnológicas com interesse para duplo uso civil
e militar;
Participar nos trabalhos das comissões técnicas nacionais e internacionais, para implementar as
normas e especificações técnicas internacionalmente aceites aplicáveis à segurança das redes e
dos sistemas de informação, sem imposição ou discriminação em favor da utilização de um
determinado tipo de tecnologia;
21
Eixo 6 – Cooperação nacional e internacional:
22
Aprofundar a coordenação e cooperação entre as diversas entidades nacionais com
responsabilidades na segurança do ciberespaço, tendo em vista uma melhor capacidade de
alerta e resposta para fazer face às ameaças;
A presente Estratégia será objeto de avaliação anual pelo Conselho Superior de Segurança do
Ciberespaço. Tal avaliação incluirá uma verificação dos objetivos estratégicos e do plano de ação
e adequação dos mesmos à evolução das circunstâncias.
Por outro lado, a rápida evolução intrínseca ao ciberespaço exige que a presente Estratégia seja
objeto de revisão regular e periódica, considerando-se que, sem prejuízo de processos de
revisão extraordinários sempre que as circunstâncias o exijam, aquela deve ocorrer num prazo
máximo de cinco anos.
23
24